Una nuova vulnerabilità Android scoperta da MWR InfoSecurity descrive in dettaglio come le app possono indurre gli utenti a registrare i propri schermi a loro insaputa.
Android è presente su miliardi di dispositivi in tutto il mondo e ogni giorno vengono scoperte nuove vulnerabilità. Ora, un exploit scoperto da MWR InfoSecurity spiega in dettaglio come le applicazioni nelle versioni Android comprese tra 5.0 e 7.1 possano indurre gli utenti a registrare i contenuti dello schermo a loro insaputa.
Coinvolge Android MediaProiezione framework, lanciato con 5.0 Lollipop e che ha dato agli sviluppatori la possibilità di catturare lo schermo di un dispositivo e registrare l'audio del sistema. In tutte le versioni Android precedenti alla 5.0 Lollipop, le applicazioni di cattura dello schermo dovevano essere eseguite con privilegi di root o firmate con speciali chiavi, ma nelle versioni più recenti di Android, gli sviluppatori non hanno bisogno dei privilegi root per utilizzare il servizio MediaProjection e non sono tenuti a dichiarare autorizzazioni.
Normalmente un'applicazione che utilizza il framework MediaProjection richiede l'accesso al servizio tramite un file intento, che Android presenta all'utente come popup SystemUI. MWR InfoSecurity ha scoperto che un utente malintenzionato potrebbe sovrapporre un normale popup SystemUI con un'esca per indurre l'utente a concedere all'applicazione le autorizzazioni per la registrazione dello schermo. La ragione? Le versioni Android successive alla 5.0 Lollipop non sono in grado di rilevare i popup SystemUI parzialmente oscurati.
Questa vulnerabilità è stata attualmente solo corretta Android 8.0Oreo, afferma il rapporto, e poiché la maggior parte degli smartphone Android non dispone dell'ultima versione di Android, il rischio rimane serio. Secondo i dati del 2 ottobre, circa il 77,5% dei dispositivi Android attivi erano vulnerabili all'attacco MWR InfoSecurity.
Non esiste una soluzione a breve termine al problema dell'aggiornamento: dipende dai produttori di telefoni. Nel frattempo, però, gli sviluppatori Android possono difendersi dall'attacco abilitando il file FLAG_SECURE parametro di layout tramite il WindowManager dell'applicazione, che garantisce che il contenuto dell'applicazione le finestre vengono trattate come sicure e impedisce loro di apparire negli screenshot o di essere visualizzate in modalità non protetta visualizza.
Dal punto di vista dell'utente, MWR InfoSecurity aggiunge che questo attacco non è del tutto inosservabile. Il rapporto afferma:
"Quando un'applicazione accede al servizio MediaProjection, genera un display virtuale che attiva l'icona screencast nella barra delle notifiche. Se gli utenti dovessero vedere un'icona screencast nella barra di notifica dei loro dispositivi, dovrebbero indagare sull'applicazione/processo attualmente in esecuzione sui loro dispositivi."
La morale della storia? Fai attenzione a quali app scarichi.
Fonte: MWR InfoSecurity